一个非常流行的 WordPress 插件中发现了一个安全漏洞。该漏洞使全球超过四百万个网站面临风险。它允许黑客访问管理员帐户。尽管已经部署了补丁,但数百万个站点仍然容易受到攻击。
发现了一个安全漏洞真正简单的安全性,一个注重安全的 WordPress 插件。该插件特别允许您受益于双因素身份验证层和实时漏洞检测。
据来自的研究人员称词栅栏,另一个专注于安全的 WordPress 插件,Really Simple Security 漏洞允许远程攻击者获得管理员访问权限完全的。通过利用该漏洞,实际上可以“绕过任何用户(包括管理员)的身份验证和访问帐户”。
在人们眼中词栅栏,它是关于“这是我们作为 WordPress 安全提供商 12 年历史上报告的最严重的漏洞之一”。为了利用该缺陷,攻击者可以使用自动化脚本。我们的同事来自电脑发出蜂鸣声因此害怕看到外表“大规模网站接管活动”。
数百万个网站受到影响并修复
该漏洞影响该软件的免费版和专业版,迭代范围为 9.0.0 到 9.1.1.1。该插件的免费版本由超过四百万个网站。
毫不奇怪,Really Simple Security 背后的开发人员在发现以下问题后立即部署了补丁词栅栏。在 WordPress 团队的支持下,他们推动了版本 9.1.2 du 插件日前。为了保护自己,建议用户尽快安装最新版本的插件。到目前为止,已有超过 450,000 个网站花时间安装了该补丁。超过三百万受影响的网站仍然容易受到攻击......
在所有管理员安装补丁之前,网络犯罪分子可能会利用该漏洞进行攻击控制网站。一旦网站落入他们手中,他们就可以自由地用它做任何他们想做的事情。特别是,它们可能会显示诈骗、网络钓鱼页面或强制安装恶意软件的链接。过去,海盗也曾用作受感染的 WordPress 网站来传播恶意软件能够窃取加密货币。这是向所有滥用行为敞开的大门。
在此背景下,词栅栏鼓励“托管提供商强制更新其客户端并对其托管文件系统执行扫描,以确保没有客户端运行此插件的未修补版本”。
这并不是今年第一次流行的 WordPress 插件让大量网站面临风险。年初,Popup Builder 插件中的漏洞导致数千个网站遭到黑客攻击。在更新纠正这种情况之前,该缺陷已被多次利用。最近,LiteSpeed Cache 插件濒临灭绝超过六百万个 WordPress 网站。
来源 : 词栅栏
